虽然很多中级市场和SMB组织还没有完全致力于信息安全的角色，但是时机可能已经到了。IT组织如今正面临重要的抉择，而且随着组织需要面对的法规要求更加繁重，这种工作的必要性正在迅速地增长。由于组织利用新趋势和机会扩大业务范围，比如“携带自己的设备”和云服务，对安全专家的需求也将非常高。

以下是首席安全官(CSO)在2020年可能的情况。

首席安全官的需求

当今的技术环境就像野火一样蔓延。连接到多个不同的网络被视为平常事，而且组织在他们部署的工具的数量和他们支持的应用程序的数目都在不断增长。更重要的是智能手机真的就是电脑以至于职员走到哪里就把它们带到哪里,不论是去开会、老板的办公室、看电影、午餐或竞争对手的办公室。这是可以被用于好的方面的技术——或者是用于邪恶的方面。

到2020年，组织将采用多种云服务，携带自己的设备(BYOD)将成为一种生活方式，首席安全官将需要准确理解如何把所有的东西都融合在一起。今天，组织已经挣扎于BYOD及其对安全的影响；到2020年，几乎所有的员工将拥有智能手机和平板电脑，以及具有2020年特色的移动设备。

还有更多的问题需要考虑。到2020年，云服务将无缝整合到现有的IT环境里。在许多情况下我看到云成为另一个服务层，但会有很多弯道进入到环境中，每一个弯道将是一个潜在的安全风险。而且，随着更多的云服务进入组织，CSO们必须为购买决策一部分的每一中服务审查每个供应商的安全状况。

简而言之，2020年的首席安全官(CSO)将面临大量分散的环境，需要对多个领域的关注。

对首席安全官职位的两个见解

也许令安全专业人士失望的是，到2020年首席安全官仍然不会被认为是管理团队的正式成员。虽然信息和组织的安全对一个组织非常重要，但是整个安全范式应该属于现有的风险管理系统。但是CSO们将给管理团队和董事会提供定期报告，特别是在信息安全的重要性增加的时候。

我认为今天常见的业务结构从现在到2020年不会使其有太多的改变，但是随着越来越多的组织雇佣CSO，现有的两个结构将会加强。

在一种情形下，CSO直接向CIO进行汇报，甚至可能有点脱离正式的IT组织图的一方，便于与“正式”的IT人员保持分离。CSO定期向CIO简要介绍潜在的安全问题并且与IT人员一起工作，确保任何确定的安全问题尽快得到解决。情况理想的话，CSO必须在可能有安全影响的项目上签字，包括新的系统和应用程序部署。CSO还负责执行常规的渗透测试，通常还要负责验证已经被实施的安全系统工作良好。不利的一面是有些人可能把IT看作是控制安全以及控制报告的元素。

另一方面，一些组织要求CSO对组织的主要风险管理官员有一个虚线（编者注：在外资企业的组织结构图中(organization chart),有时一个职位上面会出现两个甚至两个以上的manager,其中有一个是直接经理,他和该职位之间用实线(solid line)连接,其他经理则用虚线(dotted line)连接.和solid-line manager之间是行政关系,和dotted-line manager 之间主要是业务关系并经常变化. 该职位必须直接报告给solid-line manager，并同时抄送dotted-line manager.）来维持有效的制衡。这个结构直接将CSO置于首席风险管理官的领域之内。在这里，CSO对CIO来说是一个外部代理，而不是内部资源，而且CSO对CIO可能有也可能没有一个虚线。责任是相似的，但CSO可能在某些IT计划和服务上有更多的否决权。

这是今天发生的一个点，但到2020年，我认为CSO的作用是帮助组织保护他们自己。在绝大多数情况下，做出的决策对组织可能有消极的安全影响。到2020年，我们将看到更多的组织充分资助CSO这个职位，当谈到服务收购的时候这些CSO们将拥有重要的权力。虽然他们将不会完全自主，但在组织可以同意新的服务合同和服务活动之前他们的签字是必需的。

今天，尽管许多组织尚未聘佣CSO，我们看到这个职位在一些组织里已经添加到了工资总支出当中。到2020年，CSO将成为一个必需的职位，无论是由于复杂性还是法规。今天逐渐扎根的这些结构和职责会随着安全功能的光度和深度的扩大以及技术环境的扩张而迅速增长。